Looker (Google Cloud Core) utilise Identity and Access Management (IAM) pour fournir des accès utilisateur et administrateur via un ensemble de rôles IAM. Pour obtenir une description détaillée d' Google Cloud IAM, consultez la documentation IAM.
Qu'est-ce que Cloud Identity and Access Management (IAM) ?
IAM vous permet de contrôler qui a accès aux ressources de votre Google Cloud projet. IAM vous permet d'adopter le principe de sécurité du moindre privilège, afin de n'accorder que l'accès nécessaire à vos ressources.
Les comptes principaux sont les "acteurs" d'IAM. Il peut s'agir d'utilisateurs individuels, de groupes ou de domaines Workspace. Les comptes principaux se voient attribuer des rôles qui leur permettent d'effectuer des actions avec Looker (Google Cloud Core) ainsi que Google Cloud plus généralement. Chaque rôle est un ensemble constitué d'une ou plusieurs autorisations. Les autorisations sont les unités de base d'IAM : chaque autorisation permet à un compte principal d'effectuer une action donnée.
Par exemple, l'autorisation looker.instances.login permet à un compte principal de se connecter à des instances Looker (Google Cloud Core). Cette autorisation est incluse dans plusieurs rôles prédéfinis, y compris le rôle Administrateur Looker (roles/looker.admin) et le rôle Utilisateur d'instance Looker (roles/looker.instanceUser).
Rôle requis
Pour obtenir les autorisations nécessaires pour attribuer des rôles IAM Looker (Google Cloud Core), demandez à votre administrateur de vous accorder le rôle Administrateur IAM du projet (roles/resourcemanager.projectIamAdmin) dans le projet dans lequel l'instance a été créée.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Rôles IAM et rôles Looker
Deux types de rôles différents accordent des autorisations pour Looker (Google Cloud Core) : les rôles IAM et les rôles Looker.
Rôles IAM Looker : ces types de rôles régissent les capacités suivantes :
- Capacités des utilisateurs dans la Google Cloud console concernant Looker (Google Cloud Core)
Lorsqu'ils sont utilisés avec OAuth, ils régissent également les capacités suivantes :
- Capacités des utilisateurs à se connecter à une instance Looker (Google Cloud Core)
- Si les utilisateurs se voient ou non attribuer automatiquement le rôle Looker Administrateur via IAM une fois qu'ils se sont connectés à une instance Looker (Google Cloud Core). Pour en savoir plus, consultez la documentation Authentification et autorisation avec OAuth et IAM.
Pour savoir comment attribuer des rôles IAM, consultez la documentation IAM.
Rôles Looker : ces types de rôles régissent ce que les utilisateurs peuvent faire une fois qu'ils se sont connectés à une instance Looker (Google Cloud Core). Pour savoir comment attribuer des rôles Looker, consultez les pages de documentation Rôles et Groupes.
Les rôles Looker sont attribués ou révoqués dans une instance Looker (Google Cloud Core), à l'exception du rôle Looker Administrateur via IAM, qui ne peut être attribué ou révoqué que via IAM. Les rôles IAM ne peuvent être attribués ou révoqués que dans la Google Cloud console.
Rôles IAM Looker (Google Cloud Core)
Trois rôles prédéfinis sont disponibles pour les utilisateurs de Looker (Google Cloud Core). Ces rôles sont accordés au niveau du Google Cloud projet et contrôlent l'accès de manière uniforme pour toutes les instances Looker (Google Cloud Core) d'un Google Cloud projet. Si un utilisateur s'authentifie avec OAuth, le rôle IAM attribué à chaque compte principal affecte également les rôles Looker attribués lors de la connexion à l'instance.
| Nom du rôle | Autorisations |
|---|---|
Lecteur Looker
Accès en lecture seule à toutes les ressources Looker (Google Cloud Core) dans la Google Cloud console. |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Utilisateur d'instance Looker
Accès pour se connecter à une instance Looker (Google Cloud Core). |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Lecteur de schéma Looker
Accès aux données de schéma Looker (Google Cloud Core) dans Knowledge Catalog. |
looker.schemas.view |
Administrateur Looker
Accès complet à toutes les ressources Looker (Google Cloud Core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list looker.schemas.view resourcemanager.projects.get resourcemanager.projects.list |
Au moins un compte principal doit disposer du rôle IAM Administrateur Looker (roles/looker.admin).
Si les rôles prédéfinis ne fournissent pas l'ensemble d'autorisations souhaité, vous pouvez également créer vos propres rôles personnalisés.
Étape suivante
- Utiliser Google OAuth pour l'authentification des utilisateurs Looker (Google Cloud Core)
- Gérer les utilisateurs dans Looker (Google Cloud Core)
- Configurer une instance Looker (Google Cloud Core)
- Paramètres d'administration de Looker (Google Cloud Core)
- Administrer une instance Looker (Google Cloud Core) depuis la console Google Cloud